[Windows 11] Filtrer accés USB compte utilisateur

kriss84 · Avril 22, 2025, 4:14

Bonjour à tous,

J’ai une entreprise, une boulangerie avec 2 mini pc qui font office de caisse automatique avec des écrans tactiles.
Parfois, nous avons du turnover au niveau du personnel de vente et j’ai appris qu’une personne qui n’est plus chez nous avait trifouillé dans un des pc.

Il y a un monnayeur automatique qui utilise 2 ports USB. Il y a une clé de sauvegarde de la base de données du logiciel d’encaissement. Nous avons un NVR aussi qui n’est pas connecté en USB mais en local ethernet sur la box

Je vais refaire l’installation des 2 pc avec des comptes utilisateurs limités, mais j’ai peur que ce ne soit pas suffisant au niveau de la sécurité.

Je pense qu’une personne qui s’y connaitrait pourrait passer outre et installer un virus afin de se connecter à distance?

Je suppose que chaque appareil à une sorte d’empreinte numérique et qu’on pourrait autoriser seulement ceux précités par windows ou un logiciel tierce?
J’ai aussi vu qu’on pouvait bloquer les périphériques comme clé ou disques externes mais que se passerait il si la clé est configurée pour se faire passer pour un autre genre d’appareil usb, comme une souris?

Donc ma question serait : serait il possible de bloquer les ports USB pour tout nouvel appareil sauf pour le monnayeur et la clé de sauvegarde?

darkomen · Avril 22, 2025, 5:01

C’est plutôt l’inverse que je ferais. Faire une installation managé en mode kiosque/partagé et utiliser une clé de sécurité USB pour authentifier chaque utilisateur.
Par contre c’est « facile » à faire sur un iPad ou un Mac, je ne sais pas ce que ça donne sur Windows.

kriss84 · Avril 22, 2025, 5:16

Je voudrais simplement limiter les ports usb aux appareils prédifinis sur la cession utilisateur de windows

wackselwease · Avril 23, 2025, 6:00

Dans un domaine avec serveur , tu peux faire ça « simplement « avec une GPO.
C’est documenté depuis…pfiou longtemps!

Tu peux essayer de suivre le même schéma avec une politique locale mais j’ai jamais testé.

Après , nombre d’antivirus permettent aussi de restreindre les usb.
Mais dans tous les cas , ça va te permettre de limiter l’installation à une marque spécifique de clé usb ( car c’est le vendor id qui sert de référence.)
Pas à 1 clé usb spécifique.

Source documentée :

Le1 · Avril 23, 2025, 11:56

En complément tu peux contourner cette limitation si tu utilise un système de chiffrement avec tes clés (par exemple avec Bitlocker).

cela permet de chiffrer le contenu : si la clé est arraché, les données sur la clé ne sont pas lisibles en l’état.
chaque clés usb à son propre marquage et sa propre clé de récupération / d’identification;
avec les bonnes GPO, les utilisateurs n’ont pas accès au processus d’identification des clés mais juste au contenu.

Lukkant · Avril 23, 2025, 2:08

Tu as peut etre une piste aussi a ce niveau. Tu ne connectes le PC a rien … et ce sera impossible de prendre son controle a distance.
Plus soft si ta box Opérateur le permet , tu interdit a ton PC d’accéder au réseau sauf quand tu l’autorise via la box ( quand tu es a coté par exemple)